A segurança da informação é uma questão que afeta todos os níveis das atividades operacionais de uma organização. Basta uma falha e o risco de danos financeiros, competitivos e à reputação pode ser enorme. Por isso, a cibersegurança não está mais restrita aos CIOs e CSOs, e os Conselhos e outros executivos nível C, como CEO e CFO, estão assumindo um papel cada vez mais ativo na governança da segurança. Mas, levando em consideração que não são especialistas em TI e em cibersegurança, como eles devem receber informações e dados que façam sentido dentro do contexto dos negócios e permitam uma melhor tomada de decisão, ao mesmo tempo em que amplia o diálogo com as equipes de TI?

A National Association of Corporate Directors (NACD) acaba de publicar uma nova edição do estudo “Cyber-Risk Oversight”, onde aponta as melhores práticas que devem ser adotadas em relação à segurança da informação pelas diretorias e conselhos, ressaltando que outra pesquisa identificou que 90% dos diretores acreditam que seus conselhos precisam melhorar a compreensão sobre os riscos implicados em falhas na segurança da informação.

Para vencer esse desafio, é preciso contar com ferramentas que ofereçam aos executivos noção do estado real da segurança e do resultado dos seus investimentos, em tempo real. Analistas da NACD também destacam que os executivos devem solicitar às equipes de TI relatórios compreensíveis e validados sobre o estado da cibersegurança, como os dashboards oferecidos pela plataforma GAT, customizados para atender a cada tipo de audiência.

Melhores práticas para entender a segurança da informação

Para os analistas da NADC, existem cinco princípios, ou melhores práticas, que devem imediatamente ser abordadas e aplicadas ao programa de gerenciamento de risco da organização e que devem ser levadas aos executivos de forma contextualizada e compreensível:

Executivos e membros do conselho precisam entender e abordar a segurança da informação e o gerenciamento de risco como uma questão que abrange toda a organização, e não apenas como um problema que diz respeito à TI

Executivos devem entender as implicações legais de violações de segurança e como elas se aplicam à sua organização

Membros do conselho devem ter acesso a conhecimento especializado sobre segurança da informação, e as discussões sobre gerenciamento de risco devem fazer parte de suas reuniões

Executivos devem incentivar a implantação de uma cultura de gerenciamento de risco em toda a organização, com tecnologias, equipes e orçamento adequados às ameaças digitais que seus negócios podem enfrentar

Reuniões de diretoria sobre segurança da informação precisam incluir os riscos que devem ser evitados, aceitos, mitigados ou alvo de seguro, com planos específicos para cada um

Plataforma integra e customiza informações sobre o estado da segurança

O GAT, plataforma de SOAR (Security Operations, Analytics and Reporting), desenvolvida pela iBLISS, oferece aos membros de conselhos, executivos e líderes de TI os recursos necessários para vencer os principais desafios da gestão de vulnerabilidades e da segurança da informação nas organizações.

A plataforma é capaz de apresentar uma visão real do grau de exposição do ambiente de TI, em tempo real, com dashboards customizados para atender a cada necessidade.